Jak izolować sieci za pomocą routera Mikrotik?

7

Niedawno dostałem router Mikrotik dla mojej sieci i chcę utworzyć 3 sieci, które są od siebie odizolowane, ale wszystkie mają dostęp do Internetu:

  1. „Główna” sieć dla komputerów PC itp.
  2. Sieć urządzeń / urządzeń automatyki domowej. Nie chcę, aby te hosty miały dostęp do innych sieci, ale chcę, aby niektóre określone hosty w sieci głównej miały dostęp do określonych hostów w tej sieci.
  3. Sieć gości dla gości. Chcę, aby hosty w tej sieci miały tylko dostęp do Internetu i były całkowicie odizolowane od innych sieci.

Udało mi się skonfigurować te trzy sieci za pomocą mostów, postępując zgodnie z tymi instrukcjami, a także naśladując domyślną konfigurację dostarczoną z routerem.

Wygląda na to, że muszę teraz zdefiniować reguły zapory sieciowej, aby zablokować ruch między mostami, i tutaj potrzebuję pomocy. Rozumiem, że oprogramowanie zapory ogniowej Mikrotik jest oparte na iptables Linuksa.

  1. Wygląda na to, że istnieją dwa miejsca: główna konfiguracja zapory /ip firewall filteri sekcja dotycząca mostu /interface bridge filter. Którego najlepiej użyć? Jakie są zalety i wady każdego z nich?

  2. Eksperymentuję z filtrami mostkowymi, ale wszystkie moje reguły mają małą ikonę paska ruchu obok nich, co nie wygląda mi dobrze. Nie mogę znaleźć żadnego wyjaśnienia, co oznacza ikona.

  3. Jak powinienem skonfigurować reguły? Czy łatwiej byłoby stworzyć grupę oddzielnych łańcuchów dla każdego mostu? Jeśli tak, jak należy zorganizować łańcuchy?

  4. Wygląda na to, że muszę zdefiniować forwardreguły. Czy istnieją inputlub outputzasady, które byłyby potrzebne, jak również?

  5. Powinienem dopasować reguły do ​​mostów / interfejsów (tj. Mostek, mostek, interfejs WAN itp.), Prawda? Np. Aby zablokować pakiety z głównej sieci do domowej sieci automatyki, potrzebowałbym reguł, które przypominałyby in-bridge = main out-bridge = home_automation action = DROP, prawda?

firewall iptables mikrotik-routeros Kaypro II
źródło
Jeśli masz alternatywne podejście, możesz je zasugerować. Wszystkie te sieci są skonfigurowane na jednym routerze (mają przypisane różne porty przełączania / identyfikatory SSID), ale wygląda na to, że router automatycznie trasuje między wszystkimi sieciami, do których ma trasy.
Kaypro II
Powyższy komentarz był odpowiedzią na teraz usunięty komentarz.
Kaypro II

Odpowiedzi:

6

Rzeczywiście, urządzenia Mikrotik wykonują routing automatycznie między sieciami. Rozważmy na przykład dwie sieci 10.0.0.1/16 i 192.168.1.0/24. Jeśli chcesz zablokować ruch między tymi dwoma, po prostu dodaj dwie reguły zapory

ip firewall filter add chain=forward src-address=10.0.0.0/16 dst-address=192.168.1.0/24 action=drop
ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=10.0.0.0/16 action=drop

więc upuszczasz pakiety w obu kierunkach.

Benoit PHILIPPON
źródło